OWASP 依赖检查,如何使用抑制

【问题标题】:OWASP Dependency check, how to use suppressionsOWASP 依赖检查,如何使用抑制
【发布时间】:2021-11-23 00:46:43
【问题描述】:

我的 CI 构建在 OWASP 依赖项检查中失败。 例如

[HIGH] CVE-2021-37136 - io.netty:netty-codec-4.1.66.Final

我知道我可以在 owaspDependencyCheckSuppressions.xml 中添加抑制来解决此问题。

这是我以前没有做过的事情,但这里有一个指南 - https://jeremylong.github.io/DependencyCheck/general/suppression.html 它说...

“使用 HTML 来抑制这些误报是相当容易的 报告。在每个识别出的 CPE 旁边的报告中(以及 CVE 条目)有一个抑制按钮。单击抑制按钮 将创建一个对话框,您可以简单地按 Control-C 进行复制 您将放入抑制 XML 文件的 XML"

我有 2 个问题

#1 你知道我在哪里可以找到这份 HTML 报告吗?我认为它可能在 CI 中链接(我使用的是 Circle CI),但我无法在那里发现它:(

#2 指南中给出了一个示例抑制

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
   <suppress>
      <notes><![CDATA[
      file name: some.jar
      ]]></notes>
      <sha1>66734244CE86857018B023A8C56AE0635C56B6A1</sha1>
      <cpe>cpe:/a:apache:struts:2.0.0</cpe>
   </suppress>
</suppressions>

导游接着说

"上面的 XML 文件将抑制 cpe:/a:apache:struts:2.0.0 从 任何具有匹配 SHA1 哈希的文件。"

“任何文件”是什么意思?这是否意味着任何使用依赖项的 Java 类?

谢谢:)

【问题讨论】:

    标签: java security continuous-integration owasp suppression


    【解决方案1】:

    #1 点击 CI 中 OWASP 依赖检查任务上的“工件”选项卡,就会出现 html 报告。

    #2 'File' 在这种情况下是指 jar 中保证依赖问题的文件。它将在html报告中提供给您。

    【讨论】:

    • 也可以通过将失败的测试名称添加到 .trivyignore eg/CVE-2021-37136 来抑制失败
    猜你喜欢
    • 2018-05-21
    • 1970-01-01
    • 2020-04-09
    • 2017-07-09
    • 2020-09-30
    • 2023-01-04
    • 2020-11-29
    • 2017-07-19
    • 2018-11-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode